ICHIRO BLOG引っ越しました

引っ越しの理由
無縫地帯

IoTセキュリティはITの歴史から学ぶことができるか

2019.10.31

外部からネットワークや機器の脆弱性を指摘されても、情報を受け取る運営側が問題を理解できずに放置したり間違った対応をしてしまうケースがいまなお繰り返されています。うまく啓蒙する方法は無いのでしょうか。

しばらく前に生体認証に関する話題を取り上げました。

ドコモが本格導入するなど普及しつつあるスマホでの生体認証も決して完璧ではないという話(ヤフーニュース個人 山本一郎 19/10/22)

記事の中で最後に余談として、あるホテルに導入されているIoTデバイスにセキュリティの問題があると外部から指摘されたにもかかわらず導入事業者側はその指摘を無視しようとしたという事例に触れましたが、その件についてなぜそのようなことになってしまったのかを経緯をたどりながら論考した記事があり興味深く拝読しました。

「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された?不幸なすれ違いの背景(ITmedia 19/10/30)

外部からセキュリティに問題があることを指摘された側が、こんにちのセキュリティ界隈で標準的とされているコミュニケーションのあり方や手続きに無知であったため、わざわざ顧問弁護士と相談した上で恐喝行為と判断して対応したのが不幸の一つであり、さらに問題があるとされたIoTデバイスの開発元もどういうセキュリティ脆弱性があるのかを判断できるだけの技術に精通していなかったということで、こうした状況を記事筆者が以下のように表していてまさに同感です。

良かれと思って脆弱性を指摘したセキュリティ技術者と、どのように情報を受け止め、対処すべきかが分からない企業のすれ違いは、2000年前後にITの世界で繰り返されてきました。この問題が今、IoT機器を巡って再び繰り返されているように思います。ITmedia
IoTという土俵に新規参入してくる事業者が増えれば、これまでIT業界で多くの事業者やユーザーが苦い経験をして学んできた様々な事柄をまた一からやり直すことになるのでしょうか。なかなか痺れるなと感じるのは、攻撃を受ける側の大勢が初心者で占められる可能性があるのに対して、攻撃する側はサイバー攻撃に精通した百戦錬磨の猛者ばかりという状況になり得るところでして、このまま5Gサービスが開始されセキュリティに疎い新参メーカーが粗製濫造するIoTデバイスが市場に溢れるようなことになれば、目も当てられない事態が起きるのではないかという不安を覚えます。本来は、サービスを行ったり、機器を運用する側のほうが知識のあるプロであるべきが、実際にはネットワークについてたいした知識もないままIoT技術を使ったりロボットを運用していたりすると、外部からの大変な侵害があっても気が付かず、同様に外部から適切な情報が提供されていてもそれが何を意味しているのか理解できないのです。

もちろんそうした事態を危惧しているのは誰もが一緒であり、業界団体でもいろいろと対策は考えているようです。

IoT機器に認証マークを導入 サイバー攻撃リスクに備え(NHKニュース 19/10/30)

認証制度を始めたのは電器機器メーカーなど160社余りでつくる「重要生活機器連携セキュリティ協議会」です。
(中略)
認証マークを取得するにはIDやパスワードを初期設定から変更するよう促す機能を備えていることや最新規格の無線LANに対応していることなど11項目の安全基準を満たす必要があるということです。NHKニュース
ただ、消費者側がこうした認証マークの有無を確認して製品を手に入れることになるのかといえば、昨今はとにかくネットで検索して安い製品を購入する傾向が高いと思われますので、当面はどこまで効果が期待できるのかよく分かりません。また、ネット・ICTに関連がある認証マークの類ですぐに思い出すのは「プライバシーマーク」ですが、今となってはほぼ有名無実化してしまった感があるだけに、この新しいIoTデバイス向けの認証マークがPマークの轍を踏まないことを祈るばかりです。

ちなみに、総務省による直近の調査データによれば、IoTデバイスの国内セキュリティ状況に今のところ大きな変化はないそうですが、だからといって手放しで安心できるという話でもないので十分に注意したいところです。

危険なIoT機器の数が増加--「大きな変化はなし」と総務省(ZDNet Japan 19/10/29)

同省は、現時点で脆弱だったりマルウェア感染したりしているIoT機器は少ない状況と推測するが、今後もIoT機器に対するマルウェア感染を狙う攻撃などの活動が継続すると予想し、適切なIDとパスワードの設定やファームウェアのアップデートといった対策をユーザーに呼び掛けている。ZDNet Japan
一般論として、この手の問題への対策の呼びかけにおいて、ようやく「定期的なパスワードの変更を」などと寝ぼけたことを言わなくなったのは物凄く評価されるべきことだと思う一方、呼びかけを見て「ああ、気を付けねば」と思える当事者性を持っている人はすでに対策をしている割に、適当にやってる人たちは呼びかけられていることにすら気づかないことはあり得ます。

この手の問題は、ワクチンの普及による「集団免疫」みたいなものなので、多くの人たちが問題に気づいて対処すればするほど、日本のネットワーク全体の堅牢性は引き揚げられていくのでしょうが、非常に悩ましいところですね。